iptables的备份和还原

1、写在命令行当中的都是临时设置

2、把规则配置写在服务的文件当中，形成永久有效

备份：把iptables里面所有的配置都保存在/opt/ky30.bak中

iptables-save  >  /opt/ky30.bak

例：

默认配置文件在/etc/sysconfig/iptables中

把原有的策略覆盖

例：

 把备份在/opt/ky30.bak的策略重定向输出到/etc/sysconfig/iptables.config中

一键导入

导入配置也是临时设置，永久生效要写在/etc/sysconfig/iptables中

备份

自定义链（可以自己自定义一个链名，用的比较少都是也会用到）

1、创建自定义链    -N

例：

 没有指定表名，默认在filter表中添加一个自定义链

给自定义链改名，把lp改成hp       iptables  -E   原链名  新链名  

例： 

为自定义链添加规则：

 创建在自定义链中的规则需要添加到默认链当中，才能够使用

删除自定义链：

 

 自定义链的规则被默认链使用，要先在默认链中删除，再把自定义链当中的规则删除，最后才能把自定义链删除

重点：SNAT和DNAT（源地址转换和目标地址转换）

内网到外网转换的是源地址

例：内网地址192.168.233.21要对外网地址12.0.0.10进行访问，内网地址要进行转换，源地址192.168.233.21要转换成10.0.0.10，在用10.0.0.10来对外网进行访问。

此时目标地址12.0.0.10不变，源地址转换为10.0.0.10，所以是源地址转换

外网到内网转换的是目标地址

例：外网12.0.0.10要把数据返回到内网，但是不能直接和内网地址进行通信，目标地址是192.168.233.21，首先要换一个能和内网地址进行通信的地址10.0.0.10。

此时源地址12.0.0.10不变，目标地址转换为10.0.0.10，所以说目标地址转换

 同一个网段的内网主机通过网关服务器路由器进行地址转换，转换成可以和公网进行通信的地址

SNAT又称源地址转换
源地址转换是内网地址向外访问时，发起访问的内网ip地址转换为指定的ip地址
（可指定具体的服务以及相应的端口或端口范围），这可以使内网中使用保留ip地址的主机访问外部网络，
即内网的多部主机可以通过一个有效的公网ip地址访问外部网络。

就是把内网地址转成指定的IP地址，这个iP地址可以访问公网

DNAT：

私网地址只能作为源地址来访问公网IP，而无法作为目标地址被其他主机访问
所以DNAT将私网中web服务器映射到公网IP，使其公网IP作为目标地址被公网中主机进行访问

SNAT/DNAT实验：

首先准备三台虚拟机，一台对内，一台对外，网关服务器的虚拟机。

关闭三个虚拟机的安全机制和防火墙

给两个对内和对外的服务器yum -y install httpd服务，做网关服务器的虚拟机的这台添加一个网卡。

关防火墙，关安全机制。

此时网关服务器的虚拟机有两个网卡，一个对内，一个对外，将对外的这台设为仅主机模式
 

前期准备工作：

test1：192.168.88.10 内网服务器

test2：192.168.88.20 外网服务器

ens33 test1的网关：192.168.88.254

ens36 test2的网关：12.0.0.254

test3：192.168.88.30 web服务器

一个快速多虚拟机操作功能：在查看-撰写-撰写栏

在最低行选‘全部shell”就可以对多台虚拟机进行命令行操作

先在test3进行操作

 

 把ip地址和网关地址改了

安装httpd服务并启动服务

看10和30地址的apache服务是否正常

在test3中重启网络，xshell会断连，要到虚拟机中进行操作

 看ip地址是否修改成功

再到test1中

 

 修改网卡配置

把DNS注释掉，把网关地址改为254

重启网络 

再到test2，test2作为网关服务器，在test2操作之前要先添加一个网卡

修改配置文件

 test2作为网关服务器，ip地址要配置成test1的网关地址

把ens33的内容复制到ens36中 

 把名字改成ens36，在把ip地址改为外网地址

修改配置允许test2
进行转发

 开启test2作为网关服务器的转发功能

使他立即生效不用重启 

重启网络，进入虚拟机进行操作 

看是否修改成功 

 把192.168.88.0这个网段出来的地址只要通过ens36出去的，都转换成10.0.0.10

检查一下 

从test1访问test3，看一下日志

指令解析

 

 

查看一下策略是否存在